Factores de Autenticación y ENS

Temas relacionados con supuesto práctico y defensa
Responder
tonit
Usuario registrado
Mensajes: 47
Registrado: Mié May 31, 2017 13:50

Factores de Autenticación y ENS

Mensaje por tonit »

Hola,

Una duda que me ha surgido:

Si tenemos un sistemas de nivel medio (ENS), según la medida del ENS "op.acc.5 Mecanismo de Autenticación" se exigirá el uso de al menos dos factores de autenticación.

Sin embargo, si configuramos nuestro sistema para Clave con nivel medio, tendremos los siguientes métodos de autenticación: Clave PIN (2 factores), Clave Permanente reforzada con OTP (2 factores), y certificado en soporte software.

De igual modo, si configuramos nuestro sistema para Autentica con nivel medio, tendremos los siguientes métodos de autenticación: certificado en soporte software y certificado en soporte hardware.

¿Es el certificado en soporte software un método de autenticación de 2 factores?

Si no, ¿la configuración de Clave y Auténtica para nivel medio incumple la medida op.acc.5 del ENS?

Gracias
Última edición por tonit el Vie Ago 14, 2020 19:25, editado 2 veces en total.

gemelodigital
Usuario registrado
Mensajes: 6
Registrado: Jue Ago 13, 2020 21:35

Re: Factores de Autenticación y ENS

Mensaje por gemelodigital »

Hola,

Muy buena pregunta, me ha animado a registrarme.

No soy ninguna autoridad en la materia, así que lo que expongo es mi opinión. Esperemos que alguien más informado aporte algo más concreto.

Lo primero, creo que está claro que el certificado software por sí solo nunca puede ser 2F, es un solo factor. Si tenemos dudas la guía CCN-STIC 808 dice en su anexo III (tabla de verificación de cumplimiento del ENS):
Evidencia: Constatar que se emplea doble factor de autenticación: algo que se sabe (contraseñas o claves concertadas); algo que se tiene (certificados software, tokens físicos unipersonales, etc.); y/o algo que se es (elementos biométricos).
Creo que lo deja bastante claro.

Dado que no parece que nadie cumpla con la Instrucción Técnica de Seguridad de Conformidad con el ENS y publicite su nivel y distintivo de cumplimiento (¿conoce alguien alguna sede en producción que exhiba el logotipo en un sitio que permita verlo?) no sabemos la categoría de las distintas sedes a las que accedemos. En cualquier caso supongo que muchas serán de categoría media.

Lo cierto es que si uno instala el certificado sin más en su navegador lo que va a tener es un factor de autenticación. Podría razonarse que es un factor más robusto que la típica credencial con usuario y contraseña pero seguiría siendo uno. También podría justificarse que en la mayor parte de entornos corporativos el login estará protegido al menos con un usuario y contraseña (y en algunos con tarjeta cripto u otros métodos) pero eso no promocionaría el acceso con certificado software a 2FA porque el login y el acceso a la sede electrónica o sitio web son procesos distintos.

En algunos sitios (incluyendo algunos de la Administración) existirá una capa de seguridad adicional que al importar un certificado software en el navegador pregunta si se trata de un entorno de seguridad media o alta y forzará a añadir un password para utilizar el certificado si se selecciona alta, esta vez sí promocionando el certificado a 2FA. Esto mismo además puede hacerlo cualquier usuario seleccionando el nivel de seguridad alto (nada que ver con la categorización del ENS) al importar el certificado (ver por ejemplo, este enlace de la AEAT). Con Firefox también podemos añadir un master password que será requerido cada vez que tratemos de usar el certificado.

Conclusión: de por sí el certificado software es 1FA pero con un poco de voluntad por parte del usuario se puede convertir en 2FA.

Y por último gran pregunta: ¿cuántos poseedores de certificado software se han tomado la molestia de configurar este password? Supongo que no muchos. Dependiendo de donde tenga cada uno el umbral de proporcionalidad entre seguridad y coste-molestia habrá unos cuantos que se olviden del certificado en un fichero y lo tengan a buen recaudo en una magnífica tarjeta FNMT Ceres o similar.

gemelodigital
Usuario registrado
Mensajes: 6
Registrado: Jue Ago 13, 2020 21:35

Re: Factores de Autenticación y ENS

Mensaje por gemelodigital »

Dado que no parece que nadie cumpla con la Instrucción Técnica de Seguridad de Conformidad con el ENS y publicite su nivel y distintivo de cumplimiento (¿conoce alguien alguna sede en producción que exhiba el logotipo en un sitio que permita verlo?) no sabemos la categoría de las distintas sedes a las que accedemos. En cualquier caso supongo que muchas serán de categoría media.

Me pasé un poco de listo con este párrafo, acabo de ver que la sede de red.es sí que nos muestra orgullosa su emblema de cumplimiento con el ENS en categoría MEDIA. Supongo que habrá muchas más.

Me tendré que comer la empanada humilde.

tonit
Usuario registrado
Mensajes: 47
Registrado: Mié May 31, 2017 13:50

Re: Factores de Autenticación y ENS

Mensaje por tonit »

Gracias por el aporte. He añadido Auténtica al enunciado original, que en principio no lo incluía.

gemelodigital
Usuario registrado
Mensajes: 6
Registrado: Jue Ago 13, 2020 21:35

Re: Factores de Autenticación y ENS

Mensaje por gemelodigital »

Hola,

De nada.

Si nos restringimos a Autentica en mi opinión es el organismo donde esté el PC el que debería responsabilizarse de incluir en su política de seguridad los medios necesarios para cumplir con el ENS y de su responsable de seguridad de hacer que se cumpla dicha política.

Se trataría por tanto de que el administrador configure de manera obligatoria un password que el usuario tenga que introducir previo a cada uso del certificado.

stereopop
PreparaTIC27
Mensajes: 85
Registrado: Mié Ago 30, 2017 11:48

Re: Factores de Autenticación y ENS

Mensaje por stereopop »

Hola,

AutenticA tiene 4 medios de autenticación con sus niveles de seguridad como se indica en el archivo siguiente :

https://www.google.com/url?sa=t&source= ... SbKcNdBkdl

Saludos.

gemelodigital
Usuario registrado
Mensajes: 6
Registrado: Jue Ago 13, 2020 21:35

Re: Factores de Autenticación y ENS

Mensaje por gemelodigital »

Hola,

Interesante documento.

Aunque la parte que trata la seguridad no parece que esté muy bien explicada. En la tabla que lista los tipos de credencial de acceso (en la página 5) no me queda nada claro qué quiere decir la columna Modo de Registro.

Según mi lectura de esa tabla si usamos certificado SW tendríamos que hacer registro presencial para acceder a AutenticA, o se refiere quizá a que para obtener el certificado SW ¿lo hemos hecho de forma presencial?

Las dos cosas suenan bastante raro. Y en cualquier caso el ENS no exime de utilizar el doble factor de autenticación incluso aunque el registro se haya hecho de forma presencial, ¿verdad?

En cualquier caso si en un centro o unidad permiten acceder a una aplicación nivel medio por medio de AutenticA sólo usando el certificado software y no fuerzan al usuario a utilizar un password como segundo factor serían ellos quienes están incumpliendo el ENS. Al menos yo no creo que el problema esté en este caso en la propia aplicación AutenticA, aunque es cierto que para evitar estos incumplimientos podrían ser categóricos y eliminar completamente la posibilidad de acceder con certificado SW.

EDITADO: pensando un poco creo que Modo de Registro debe ser entendido en el sentido de la Ley; o lo que es lo mismo: el registro presencial se refiere a todo el ciclo de vida del certificado, por lo tanto se entendería como presencial un certificado SW que ha sido descargado con el DNIe (que a su vez ha sido obtenido presencialmente). Esto no resuelve cómo encajar el requisito de 2 factores del nivel medio del ENS.

Responder

Volver a “TERCER EXAMEN 2019”